Other AntiDebug tricks

리버싱
posted by 블르샤이닝 2014. 10. 22. 17:37
728x90
몰랐던 디버거 체크 트릭 부분.....오호?
CsrGetProcessId를 이요하여 탐지 

Other AntiDebug tricks

I came across this one individual’s page whom is an avid reverse engineer with some great material.

Check out his pdf cheat sheet on anti-debugging. There were a few in there I didn’t know about like the ‘csr’ trick which involves calling an undocumented ‘CsrGetProcessId’ function within OpenProcess. CsrGetProcessId is a native API that returns the PID of csrss.exe.

Evidently if you call OpenProcess and pass the ID returned by CsrGetProcessId(), no error will occur if the SeDebugPrivilege has been set with SetPrivilege() / AdjustTokenPrivileges(). How about some code with that shake?

#include <stdio.h>
#include <windows.h>
typedef HANDLE (*_CsrGetProcessId)();

int main(void)
{
HMODULE nt=GetModuleHandle("ntdll.dll");
_CsrGetProcessId CsrGetProcessId=(_CsrGetProcessId)GetProcAddress(nt,"CsrGetProcessId");
HANDLE proc = OpenProcess(PROCESS_ALL_ACCESS,FALSE,CsrGetProcessId());
if(!proc)
{
printf("debugger is present!");
}
}

The cheat sheet has other stuff in it. Check it out some time. Better yet, check out the guy’s bloginstead.

Happy cracking!

Tags: 

This entry was posted on Monday, December 23rd, 2013 at 4:37 am and is filed under codereversing. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.


출처 ㅣ http://www.gironsec.com/blog/2013/12/other-antidebug-tricks/


728x90
저작자표시 비영리 변경금지 (새창열림)

'리버싱' 카테고리의 다른 글

Exe32Pack 1.4x (Unpacking)  (1) 2014.10.30
RunAsInvoker 로 UAC 우회  (0) 2014.10.23
ida 6,5 "win64_remotex64.exe" 리모트 디버깅을 위한 파일  (0) 2014.08.29
마우스 포인트로 안티리버싱  (0) 2014.08.29
메모리에 올라온 데이터 리버싱할때  (0) 2014.07.18

유니코드_확장명_조작_공격사례_연구

그외 해킹기술
posted by 블르샤이닝 2014. 9. 29. 15:26
728x90


유니코드 확장명 조작 사례에 대한 문서


내용이 좋아서 참고하면 좋을것같음.


출처는 죄송하지만 잘모르겠습니다. 혹시 작성자나 출처알게되면 수정하겠습니다. 


U_202E_유니코드_확장명_조작_공격사례_연구_140916.pdf


728x90
저작자표시 비영리 변경금지 (새창열림)

'그외 해킹기술' 카테고리의 다른 글

매크로 바이러스 자료  (0) 2015.07.21
CVE-2014-6332  (0) 2014.11.19
구글 크롬 패스워드 크랙방법이라네요  (0) 2014.07.30
WRP 무력화  (0) 2014.07.11
pe에서의 ASLR  (2) 2014.02.20

(칼럼)해킹 사례로 본 사회 시스템 피해

리버싱/칼럼
posted by 블르샤이닝 2014. 9. 2. 14:49
728x90

(칼럼)해킹 사례로 본 사회 시스템 피해



(칼럼)해킹 사례로 본 사회 시스템 피해.DOCX


728x90
저작자표시 비영리 변경금지 (새창열림)

'리버싱 > 칼럼' 카테고리의 다른 글

Packing 구조에 대한 이해 - 1부  (0) 2015.03.09
가상화 머신 탐지에 대한 칼럼  (0) 2014.12.01
(칼럼)윈도우 UAC 우회  (0) 2014.02.13
Java 취약점 분석  (0) 2013.12.02
매크로 바이러스 관련  (0) 2012.04.06

ida 6,5 "win64_remotex64.exe" 리모트 디버깅을 위한 파일

리버싱
posted by 블르샤이닝 2014. 8. 29. 11:07
728x90

64비트 분석을 위해 ida 원격 디버깅 설정을 하면서 ida 6.5, 6.1크랙버젼에 없는 파일을 아는분을 통해 파일을 얻어 작업하게되었다. exe는 원격 가능하지만 dll은 차라리 windbg로 하는게 속편할듯...64비트 팩킹 어려운거 나오면 완전 골때릴듯;;;

지금 자료 두개중 exe는 win64_remotex64.exe는 ida 64비트 프로그램에서 64비트os에 원격 접속하기 위한 프로그램으로 포트 설정 및 네트워크 설정을 위한 파일로 보인다.(해보니 잘된다)



win64_remotex64.exe


두번째 pdf는 인터넷에서 검색하여 찾은것으로 구형자료이긴하지만 아직까지 그대로 참고해서 사용가능하였다.(보인이 이거 보고 따라해서 잘되는거 확인)

-출처 : 어셈러브 



IDA_Remote_Debugging.pdf


---------------------------------------------------------------------

아 그리고 리버싱하시는분들에게 좋은 팁하나 드리면 ida 6.5 크랙버젼 돌아다닙니다 ㅋㅋㅋ 구해서 하면 "-" 기능의 환상적인 맵뷰어를 느낄수 있습니다...물론 정품이좋겠죠 ㅎㅎ 정품은 6.6까지 쓰던데;;ㅠ 

참고로 6.6은 64비트 헥스레이 지원한다네요...후후후후후...갖고싶다+_+ ㅠ

------------------------------------------------------------------------------

가장 최근에 풀린게 IDA 6.6 입니다. 공개할순없지만 참고하셔서 구하시면됩니다 



728x90
저작자표시 비영리 변경금지 (새창열림)

'리버싱' 카테고리의 다른 글

RunAsInvoker 로 UAC 우회  (0) 2014.10.23
Other AntiDebug tricks  (0) 2014.10.22
마우스 포인트로 안티리버싱  (0) 2014.08.29
메모리에 올라온 데이터 리버싱할때  (0) 2014.07.18
yoda unpacking[1부]  (0) 2014.07.08

마우스 포인트로 안티리버싱

리버싱
posted by 블르샤이닝 2014. 8. 29. 11:02
728x90

8월호 이스트 잡지에서 퍼온내용...다른내용은 대충 보면 알겠는데 이부분은 아직 생소한 부분이라 캡쳐 후 저장 

참고로 안티리버싱 찾기 가장 좋은방법은 코드가 돌다가 죽는부분을 찾아서 앞으로 코드를 역주행하면서 보는것이 제일 좋다. 하나의 편법 ㅋㅋ 


좋은내용은 항상 기록해 두는것이 좋은 습관입니다^^ 



728x90
저작자표시 비영리 변경금지 (새창열림)

'리버싱' 카테고리의 다른 글

Other AntiDebug tricks  (0) 2014.10.22
ida 6,5 "win64_remotex64.exe" 리모트 디버깅을 위한 파일  (0) 2014.08.29
메모리에 올라온 데이터 리버싱할때  (0) 2014.07.18
yoda unpacking[1부]  (0) 2014.07.08
이번에 분석을 하면서 느낀점...  (1) 2014.04.30

티스토리툴바